追洞小组 | 实战CVE-2020-7471漏洞

最新推荐文章于 2024-04-01 09:47:50 发布
最新推荐文章于 2024-04-01 09:47:50 发布
阅读量285 收藏
点赞数
文章标签: 数据库 mysql postgresql sql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/113931370
版权

文章来源|MS08067 WEB攻防知识星球

本文作者:守拙(Ms08067实验室追洞小组成员)

                                             

漏洞复现分析  认准追洞小组

         

一、漏洞名称:

通过StringAgg(分隔符)的潜在SQL注入漏洞

二、漏洞编号:

CVE-2020-7471

三、漏洞描述:

Django 1.11.28之前的1.11.x、2.2.10之前的2.2.x和3.0.3之前的3.0.x版本允许SQL注入,如果不受信任的数据用作StringAgg分隔符(例如,在存在多行数据下载的Django应用程序中,使用用户指定的列分隔符进行下载的场景)。通过向contrib.postgres.aggregates.StringAgg实例传递一个精心构造的分隔符,可能会破坏转义并注入恶意SQL。

四、影响版本:

Django 1.11.x < 1.11.28

Django 2.2.x < 2.2.10

Django 3.0.x < 3.0.3

五、漏洞分析

聚合函数StringAgg的delimiter参数未经任何转义就嵌入到sql语句中,导致sql注入

六、实验环境及准备:

1.数据库:postgresql,版本无所谓,本文中使用kali虚拟机中自带的数据库,允许外部连接

  • 修改如下文件,监听所有端口

/etc/postgresql/12/main/postgresql.conf

  •  修改如下文件,允许外部连接

/etc/postgresql/12/main/pg_hba.conf

  • 重启服务后,连接数据库并创建测试数据库

登陆:psql -U postgres -h [kali主机的IP]
创建测试数据库:CREATE DATABASE test,后面poc中会用到
其他postgresql语法可以参考菜鸟教程

2.POC: https://github.com/Saferman/CVE-2020-7471,运行环境django3.0.2

  • 安装django3.0.2

      pip installdjango==3.0.2

  • 使用pycharm调试POC代码,参考POC中的readme文档

  • 初始化数据库后可以用pgadmin连接看下,test数据库中应该有如下表

  • Vul_app_info表中应该如下字段和数据

七、复现步骤:

POC测试脚本中有两个函数query()和query_with_evil(),前者用于模糊测试,后者用于注入点证明

1.模糊测试

  • 通过运行query()函数的异常捕获可以知道有两个特殊字符让程序产生了报错(%和’)

  • 将程序中异常捕获注释掉,payload使用%和’单独测试

  • 通过报错可以看出分号没有转义导致sql语句报错,并直接在报错信息返回了拼接后的sql语句。将断点打在执行sql语句并产生报错的代码块去看完整的sql

  • 得到程序运行的实际sql语句

SELECT "vul_app_info"."gender", STRING_AGG("vul_app_info"."name", \'\'\') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 21

2.注入点证明

  • 通过注入sql语句使查询结果区别与程序原本的查询结果来证明注入点的可用

  • 程序原本执行的sql语句,最后是limit 21

SELECT "vul_app_info"."gender", STRING_AGG("vul_app_info"."name", \'- \') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 21

  • 注入后的 sql 语句,最后是 limit 1,只返回一行数据

SELECT "vul_app_info"."gender", STRING_AGG("vul_app_info"."name", \'- \') AS "mydefinedname" FROM "vul_app_info" GROUP BY "vul_app_info"."gender" LIMIT 1 OFSET 1 --

  • 运行结果验证

八、其他思考:

1. 漏洞利用场景 

  • Django 应用返回聚合数据的场景

  • 用于聚合的字符用户可控

  • 数据库得是 postgresql 数据库

  • 好像不容易存在这种场景...

2. 漏洞挖掘思路

  • 针对可能存在问题的函数,构建测试环境

  • 针对该函数进行模糊测试,看是否有 sql 语句报错信息

  • 如果模糊测试成功让 sql 语句报错,进行注入点利用验证

3. 漏洞修复

  • 在django的git仓库的提交记录中可以看到django官方的修复方案

  • https://github.com/django/django/commit/eb31d845323618d688ad429479c6dda973056136

  • 新版本中将delimiter 参数用Value函数处理了一下,再传递到sql中

  • 升级django版本(3.1.6)再debug一下

  • 分割符的地方用了%s,没有直接拼接进去,根据Value函数的注释说法是将参数放到sql的参数列表中,最终以下面的方式执行,则不存在sql注入风险

sql="SELECT * FROM user_contacts WHERE username = %s"
user='zhugedali'
cursor.execute(sql,[user])

4.同类型函数

  • 在postgresql数据库中和StringAgg函数一样可以传递分隔符参数的函数还有

array_to_string(array_agg(name),'-')

  • 但是django中没有找到这个函数的API(没有提供或者是我太菜了没找到..)

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

 

 

目前35000+人已关注加入我们


Ms08067安全实验室
关注
CVE-2020-7471漏洞复现(SQL注入)
anlalu233的博客
04-18 2034
1.漏洞影响范围 /受影响版本 Django 1.11.x < 1.11.28 Django 2.2.x < 2.2.10 Django 3.0.x < 3.0.3 Django 主开发分支 /不受影响产品版本 Django 1.11.28 Django 2.2.10 Django 3.0.3 2.前期准备 查看: 以下参考https://blog.csdn.net/qq_412...
CVE2020-7471
AaronLuo
02-13 492
CVE2020-7471 2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义并注入恶意SQL语句。 参考链接 影响范围 受影响版本: Django 1.11.x < 1.11....
CVE-2021-3156
weixin_48300170的博客
07-09 332
CVE-2021-3156 Linux sudo权限提升漏洞 复现漏洞简介漏洞信息漏洞原理环境搭建漏洞复现漏洞修复 复现) 漏洞简介       linux kernel一般指Linux内核。Linux是一种开源电脑操作系统内核。它是一个用C语言写成,符合POSIX标准的类Unix操作系统。       overlayfs文件系统实现中存在一个权限检查漏洞,本地普通用户可以获取管理员权限。
探秘CVE-2020-7471:一款安全研究利器的深度解析
最新发布
gitblog_00007的博客
04-01 381
探秘CVE-2020-7471:一款安全研究利器的深度解析 去发现同类优质开源项目:https://gitcode.com/ 项目简介 在网络安全领域,CVE(Common Vulnerabilities and Exposures)编号用于识别特定的安全漏洞。专注于CVE-2020-7471,这是一个影响多个流行Web服务器的重大漏洞。开发者Saferman提供了该漏洞的详细分析、复现代码和防范...
CVE-2020-7471 Potential SQL injection via StringAgg(delimiter)附poc
weixin_45439432的博客
02-26 308
漏洞原因 漏洞的核心是 StringAgg 聚合函数的 delimiter 参数存在 SQL 注入漏洞 官方修复 https://github.com/django/django/commit/eb31d845323618d688ad429479c6dda973056136 poc如下: encoding:utf-8 import os import django os.environ.setd...
追洞小组 | 实战CVE-2020-17518漏洞
Ms08067安全实验室
02-23 797
文章来源|MS08067 WEB攻防知识星球本文作者:L(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组一、漏洞名称:Apache Flink 任意文件写入漏洞二、漏洞编号...
追洞小组 | 实战CVE-2020-16898漏洞复现
Ms08067安全实验室
02-25 1345
三连一下,一起学安全文章来源|MS08067 WEB攻防知识星球本文作者:M-101(Ms08067实验室追洞小组成员) 漏洞复现分析 认准追洞小组漏洞名称Window...
微软通杀漏洞-CVE-2021-1675复现
Ms08067安全实验室
08-19 2507
文章来源|MS08067安全实验室本文作者:龙诺(Web知识星球追洞小组)一 准备环境实验环境:windows2019 (192.168.189.145) kali linux (192...
[红日安全]Web安全Day5 - 任意文件上传实战攻防
hongrisec的博客
02-26 1293
本文由红日安全成员: MisakiKata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、P...
黑客入侵防御实战:信息收集与漏洞扫描演练
- 学习利用Google搜索特定关键词,如CVE编号或软件版本,寻找可能的漏洞报告和公告。 - 在教师的指导下,执行漏洞扫描工具,如Nessus或Nmap,对系统进行深入的安全评估。 5. **注意事项**: - 学生需严格遵循...
CVE-2020-2551.zip
08-28
CVE-2020-2551复现
CVE-2020-14588.zip(升级补丁)
09-06
Oracle Fusion Middleware中的WebLogic Server的Web Container组件存在安全漏洞。攻击者可利用该漏洞未授权读取、创建、删除或修改数据,影响数据的保密性和完整性。以下产品及版本受到影响:Oracle WebLogic Server 10.3.6.0.0版本,12.1.3.0.0版本,12.2.1.3.0版本,12.2.1.4.0版本,14.1.1.0.0版本。
CVE-2020-7471漏洞复现
qq_41260930的博客
02-13 6277
文章目录1. CVE-2020-7471漏洞复现1.1. 漏洞简介1.2. 漏洞影响范围1.3. 漏洞环境搭建(parrot 5.3.0-3parrot3-amd64)1.3.1. 安装 django 漏洞版本(测试使用版本为3.0.2)1.3.2. 安装postgres 数据库1.3.3. 创建测试数据库test1.3.4. 下载CVE-2020-7471到本地1.3.5. 修改配置文件1.3....
CVE-2020-11651
千寻的博客
09-16 1593
文章目录漏洞介绍漏洞原因影响版本漏洞环境:环境搭建环境测试漏洞检测漏洞复现利用poc摘抄 漏洞介绍 CVE-2020-11651 SaltStack水平权限绕过漏洞 SaltStack 是基于 Python 开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能。 在 CVE-2020-11651 认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过 Salt Master 的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞漏洞原因 漏洞
CVE-2020-14472
weixin_44932880的博客
01-16 760
CVE-2020-14472 https://github.com/Cossack9989/Vulns/blob/master/IoT/CVE-2020-14472.md 下载解压固件 https://www.draytek.com.tw/ftp/Vigor2960/Firmware 使用ubi ubireader_extract_images Vigor2960_v1.5.0.all #得到ubi文件 ubireader_extract_files file.ubi 漏洞点在/www/cgi-bin
CVE-2020-11896
wk19951125的博客
08-14 792
CVE-2020-11896基础知识Treck TCP/IP漏洞原理将不一致转化为内存破坏参考文献 基础知识 Treck TCP/IP Treck公司一套专用于嵌入式系统的TCP/IP协议 tsPacket结构 struct tsPacket { ttUserPacket pktUserStruct; //数据包分片 ttSharedDataPtr pktSharedDataPtr; // 指向存储处理数据包所需信息的Buffer的指针 struct tsPacket * pk
CVE-2020-7471漏洞复现及浅析
qq_29365787的博客
09-15 1136
CVE-2020-7471漏洞复现及浅析 一、 CVE-2020-7471介绍 2020年2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg,从而绕过转义符号(\)并注入恶意SQL语句。 受影响版本: • Django 1.11.x < 1.11.28 • Django 2.2.x < 2.2.1
CVE-2020-25213-wp-filemanager-plugin
ordar123的博客
01-07 703
#!/usr/bin/python3 # -*- encoding: utf-8 -*- # @Time : 2020/11/27 9:41 # @Author : ordar # @File : wp_filemanager_rce.py # @Project : pythonCourse # @Python : 3.7.5 import base64 import threading from collections import OrderedDict from po
CVE-2020-13942 (Apache Unomi 远程代码执行漏洞复现)
痴人说梦梦中人
11-26 924
一、漏洞描述 Apache Unomi 是一个基于标准的客户数据平台(CDP,Customer Data Platform),用于管理在线客户和访客等信息,以提供符合访客隐私规则的个性化体验,比如 GDPR 和“不跟踪”偏好设置。其最初于 Jahia 开发,2015 年 10 月 Unomi 成为Apache 软件基金会项目。在Apache Unomi 1.5.1版本之前,攻击者可以通过精心构造的MVEL或ONGl表达式来发送恶意请求,使得Unomi服务器执行任意代码,漏洞对应编号为CVE-2020-119
SMBv3远程代码执行漏洞CVE-2020-0796防护指南
资源摘要信息:"CVE-2020-0796 POC文件是指一种针对特定安全漏洞——即CVE-2020-0796——的漏洞验证代码(Proof of Concept,简称POC)。CVE-2020-0796,也被称为“永恒之黑”或“SMBGhost”,是一个存在于Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值